阿碼外傳-阿碼科技非官方中文 Blog: 2009年11月9日

2009年11月9日

源碼檢測工具,怎麼比?美國國家標準局有研究:NIST SATE 2009 (源碼檢測工具研討會)

十一月初阿碼科技獲邀參加由美國國防部(DOD)國土安全部(DHS)美國國家標準局(NIST)所舉辦的SATE 2009 (Static Analysis Tool Exposition,源碼檢測工具研討會)發表演說。

SATE 2009 源碼檢測工具研討會是美國Build Security In ("內建安全")Software Assurance (軟體保證)計畫中的重點工作。



大會主席Paul致詞為研討會揭開序幕

阿碼科技發表「Addressing Software Security through Automated Static Analysis (以自動靜態源碼分析落實軟體安全之實務經驗分享」為題的演說

演講後回答問題,包括近一步說明 CodeSecure 如何呈現弱點追蹤(Traceback)、醒目語法提示的重要性、以及政府機關如何善用源碼檢測報告。

大會場地在靠近美國首都華府附近的一個小城市:維吉尼亞州Arlington(阿靈頓)的Crystal City (水晶市),緊鄰美國國防部所在的Pentagon City(五角大廈市),也正是此次公司所安排下榻飯店的位置,交通十分方便。

DC附近戒備深嚴



行前上網查詢發現研討會所在的飯店附近的停車費用一天要二十多元美金,但搭乘地鐵過去則只需要幾塊,因此一早七點半搭乘地鐵前往會場,一站就到達水晶市,之後沿著地下通道的大街小巷路牌指示,經過各式各樣的商店,居然就步行至會場,完全不需要離開地鐵站回到"路面上"!

SATE 2009真是一個匯集軟體安全領域先進、前輩、專家的會場,有好幾位過去在OWASP會議就結識的老朋友,像是來自NIST在軟體驗證、正規方法有諸多研究的PaulVadim,也有久仰的多位大師級人物包括C語言的Robert、JAVA語言的馬里蘭大學教授Bill,美國NSA (國家安全局)的高手,以及許多也對自動源碼檢測有高度興趣的同好,和各同業代表(Coverity、Klocwork、Veracode、GrammaTech、LDRA)等等。

在阿碼科技的簡報中,我們分享源碼檢測在SDLC中的實務經驗,以及討論此次SATE評比的結果,很可惜我們目前仍無法擅自對外揭露評比結果,即使是我們自己工具的數據,這裡面有很多有趣的觀察與發現。

與會成員討論非常多的數據,辯論很多觀念,也激盪出許多想法,此次SATE 2009源碼檢測工具研討會的主要目標(與成果):
1) 如何評估源碼檢測工具? (這對使用者是非常重要的)
2) 如何改善源碼檢測工具? (這對工具廠商是非常重要的)
3) 如何善用源碼檢測工具? (這對使用者和工具廠商都是非常重要的)

關於1): 市場成熟了,但工具成熟了嗎?廠商會大聲地說YES,但使用者要如何確認? 譬如,在評估的過程中,一個關鍵因素就是誤報率。不同的使用者是否清楚不同角色所認定的誤報? 不同角色(開發人員、QA測試人員、內部稽核人員、外部稽核人員、驗收人員、一般使用者)對於同樣的"弱點"會有不同的"價值觀",說穿了弱點是非常主觀的,在這些定義上要有一致的共識與標準,如此才能有效評估一個甚至多個工具是否能為企業與使用者帶來高效益的價值。

最重要的是,我們發現這樣的交流、互動平台不僅對整個軟體安全產業是正面的,對一般社會大眾在了解與熟悉源碼檢測工具有極大助益。在過去源碼檢測這塊是大眾比較陌生的,但我們可以看到這幾年不論是產官學或一般社會大眾,大家都認為資安是非常重要的議題,也是目前越來越困擾的嚴重問題。全球近年在推動軟體安全已逐漸有追根究柢、及早治本解決的趨勢,包括美國政府率先在推動的Build Security In ("內建安全")Software Assurance (軟體保證)計畫,強調安全是從內至外、從頭到尾重視、要求、落實,以及驗證。在這樣的過程中,自動化工具與源碼檢測分析技術的成熟與否是解決整體軟體安全問題非常關鍵的面向之一。

NIST將在2010年3月左右發表此次全球源碼檢測工具評比的完整報告。

作者 Dr. Benson Wu 為阿碼科技產品線總監

繼續閱讀全文...